Błąd logiczny wyprowadza 101 tys. dolarów ze starych kontraktów Huma na Polygon

Atak na inteligentne kontrakty V1 Huma Finance na Polygonie spowodował stratę w wysokości 101 400 USDC. Exploit pogłębił i tak już trudny okres dla protokołów DeFi w tej sieci.

O exploicie poinformowała firma zajmująca się bezpieczeństwem web3 – Blockaid. Atakujący obrał za cel wdrożenia BaseCreditPool związane ze starszą infrastrukturą V1 Huma. Łączna strata wyniosła ~101 400 w monetach USDC i USDC.e w różnych kontraktach.

Huma Finance potwierdziło incydent na platformie X, stwierdzając: „Żadne środki użytkowników nie są zagrożone, a PST nie jest objęty incydentem." Zespół poinformował, że jego system V2, działający na Solanie, został zbudowany od podstaw i nie współdzieli żadnego kodu z zaatakowanymi kontraktami.

Błąd w V1 Huma tkwił w jednej funkcji

Błąd w inteligentnym kontrakcie został znaleziony wewnątrz funkcji o nazwie refreshAccount(). Jest to funkcja znajdująca się w kontraktach V1 BaseCreditPool. Badacze bezpieczeństwa Blockaid zidentyfikowali błąd i podzielili się dodatkowymi informacjami na platformie X, stwierdzając:

refreshAccount() oznaczała konta jako „w dobrej kondycji" bez rzeczywistej weryfikacji ani warunków. Atakujący wykorzystał tę lukę i opróżnił środki z puli skarbca protokołu.

Zgodnie z analizą on-chain przeprowadzoną przez Blockaid straty odnotowano w trzech kontraktach. Jedno konto straciło ~82 300 USDC. Drugie straciło ~17 300 USDC.e. Trzecie konto straciło ~1 800 USDC.e. Według danych on-chain cały exploit został zrealizowany w jednej transakcji.

Nie było żadnego problemu kryptograficznego. Atakujący po prostu zmienił maszynę stanów kontraktu, aby skłonić ją do traktowania nieautoryzowanego konta jako prawidłowego.

Zespół Huma napisał na platformie X: „Wcześniej dzisiaj luka w starszych kontraktach v1 Huma na Polygonie została wykorzystana, powodując stratę 101 400 USDC." Kontynuowali: „System v2 Huma na Solanie jest kompletnym przepisaniem i ten problem nie dotyczy systemów v2."

Huma poinformowało, że jeszcze przed exploitem rozpoczęło już wygaszanie operacji V1. Zespół napisał na X: „Zespoły były już w trakcie wygaszania wszystkich starszych puli v1 i teraz całkowicie wstrzymały v1."

Po incydencie zespół w pełni wstrzymał wszystkie pozostałe kontrakty V1. Firma poinformowała, że depozyty użytkowników w V2 pozostały nienaruszone, a nowsza platforma nadal działa normalnie.

Polygon miał zły dzień

Zgodnie z niedawnym raportem Cryptopolitan, exploit miał miejsce tego samego dnia, kiedy Ink Finance straciło prawie 140 000 dolarów ze swojego kontraktu Workspace Treasury Proxy na Polygonie. Atakujący wdrożył kontrakt pasujący do adresu dozwolonego odbiorcy, aby ominąć kontrole uprawnień.

W obu incydentach atakujący znaleźli błędy logiczne w projekcie inteligentnych kontraktów. Następujące po sobie exploity na Polygonie nastąpiły po kwietniu 2026 roku, który ustanowił rekord jako najgorszy miesiąc pod względem strat w inteligentnych kontraktach.

Jeśli to czytasz, jesteś już o krok do przodu. Pozostań tam dzięki naszemu newsletterowi.